Menerapkan prinsip Zero Trust ke penyebaran Azure Virtual WAN
Catatan
Livestream Mendatang Bergabunglah dengan tim Azure FastTrack saat membahas artikel ini. 9 Oktober 2024 | 10.00 - 11.00 (UTC-07.00) Waktu Pasifik (AS & Kanada). Daftar di sini.
Dengan cloud modern, perangkat seluler, dan evolusi titik akhir lainnya, hanya mengandalkan firewall perusahaan dan jaringan perimeter tidak lagi cukup. Strategi Zero Trust end-to-end mengasumsikan bahwa pelanggaran keamanan tidak dapat dihindari. Itu berarti Anda harus memverifikasi setiap permintaan seolah-olah berasal dari jaringan yang tidak terkontrol. Jaringan masih memainkan peran penting dalam Zero Trust untuk menghubungkan dan melindungi infrastruktur, aplikasi, dan data. Dalam model Zero Trust, ada tiga tujuan utama dalam hal mengamankan jaringan Anda:
- Bersiaplah untuk menangani serangan sebelum terjadi.
- Minimalkan tingkat kerusakan dan seberapa cepat penyebarannya.
- Tingkatkan kesulitan mengorbankan jejak cloud Anda.
Azure Virtual WAN memungkinkan arsitektur jaringan transit global dengan mengaktifkan konektivitas di mana pun, konektivitas apa pun antara set beban kerja cloud yang didistribusikan secara global di jaringan virtual (VNet), situs cabang, aplikasi SaaS dan PaaS, dan pengguna. Mengadopsi pendekatan Zero Trust di Azure Virtual WAN sangat penting untuk memastikan bahwa tulang punggung Anda aman dan terlindungi.
Artikel ini menyediakan langkah-langkah untuk menerapkan prinsip Zero Trust ke penyebaran Azure Virtual WAN dengan cara berikut:
Prinsip Zero Trust | Definisi | Terpenuhi oleh |
---|---|---|
Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. | Gunakan Azure Firewall dengan inspeksi Keamanan Lapisan Transportasi (TLS) untuk memverifikasi risiko dan ancaman berdasarkan semua data yang tersedia. Kontrol Akses Bersyarat dimaksudkan untuk menyediakan autentikasi dan otorisasi dengan titik data yang beragam dan Azure Firewall tidak melakukan autentikasi pengguna. |
Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. | Akses pengguna berada di luar cakupan penyebaran infrastruktur jaringan Azure. Menggunakan solusi Identitas seperti Privileged Access Management, Conditional Access, dan kontrol lainnya adalah cara untuk menyampaikan prinsip ini. |
Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. | Setiap VNet spoke tidak memiliki akses ke VNet spoke lainnya kecuali lalu lintas dirutekan melalui firewall yang terintegrasi di dalam setiap hub Azure Virtual WAN. Firewall diatur untuk menolak secara default, hanya mengizinkan lalu lintas yang diizinkan oleh aturan tertentu. Jika terjadi penyusupan atau pelanggaran satu aplikasi/beban kerja, ia memiliki kemampuan terbatas untuk menyebar karena Azure Firewall melakukan inspeksi lalu lintas dan hanya meneruskan lalu lintas yang diizinkan. Hanya sumber daya dalam beban kerja yang sama yang terekspos ke pelanggaran dalam aplikasi yang sama. |
Untuk informasi selengkapnya tentang cara menerapkan prinsip Zero Trust di seluruh lingkungan Azure IaaS, lihat menerapkan prinsip Zero Trust ke gambaran umum infrastruktur Azure.
Untuk diskusi industri tentang Zero Trust, lihat Publikasi Khusus NIST 800-207.
Azure Virtual WAN adalah layanan jaringan yang menyatukan banyak fungsionalitas jaringan, keamanan, dan perutean untuk menyediakan satu antarmuka operasional. Beberapa fitur utama meliputi:
- Fitur perutean tingkat lanjut
- Integrasi "bump-in-the-wire" keamanan melalui Azure Firewall atau Network Virtual Appliances (NVA) yang didukung di hub
- ExpressRoute Terenkripsi
Pendekatan Zero Trust untuk Azure Virtual WAN memerlukan konfigurasi beberapa layanan dan komponen yang mendasarinya dari tabel prinsip Zero Trust yang sebelumnya tercantum. Berikut adalah daftar langkah dan tindakan:
- Sebarkan Azure Firewall atau NVA Next Generation Firewall (NGFW) yang didukung di dalam setiap hub Virtual WAN.
- Konfigurasikan perutean antar-VNet dan cabang lokal untuk membuat lingkungan Zero Trust dengan mengirim semua lalu lintas ke appliance keamanan di hub untuk diperiksa. Konfigurasikan perutean untuk memberikan pemfilteran dan perlindungan untuk ancaman yang diketahui.
- Pastikan bahwa tidak ada sumber daya dalam spoke yang memiliki akses langsung ke Internet.
- Menyediakan segmentasi mikro aplikasi di jaringan spoke, bersama dengan strategi perimeter mikro masuk/keluar.
- Memberikan pengamatan untuk peristiwa keamanan jaringan.
Diagram berikut menunjukkan arsitektur referensi umum yang menunjukkan lingkungan yang umum disebarkan dan cara menerapkan prinsip Zero Trust ke Azure Virtual WAN.
Azure Virtual WAN dapat disebarkan dalam jenis Dasar dan Standar. Menerapkan prinsip Zero Trust untuk Azure Virtual WAN dengan Azure Firewall atau NGFW memerlukan jenis Standar.
Azure Virtual WAN dengan arsitektur referensi hub aman meliputi:
- Satu Virtual WAN logis.
- Dua hub virtual aman, satu per wilayah.
- Instans Azure Firewall Premium disebarkan di setiap hub.
- Setidaknya satu kebijakan Azure Firewall Premium.
- VPN titik-ke-situs (P2S) dan VPN situs-ke-situs (S2S) dan gateway ExpressRoute.
- Cabang yang terhubung dengan P2S, S2S, dan ExpressRoute.
- VNet layanan bersama yang berisi sumber daya infrastruktur inti yang tidak dapat disebarkan ke hub Virtual WAN, seperti VM DNS kustom atau Azure DNS Private Resolver, pengontrol domain Active Directory Domain Services [AD DS], Azure Bastion, dan sumber daya bersama lainnya.
- Beban kerja VNet dengan Azure Application Gateway, firewall aplikasi web Azure (WAF), dan Titik Akhir Privat jika diperlukan.
Azure Virtual WAN mendukung integrasi sekumpulan firewall pihak ketiga terbatas di dalam hubnya sebagai alternatif untuk Azure Firewall asli. Artikel ini hanya menjelaskan Azure Firewall. Apa yang disertakan dalam spoke VNet-Shared Services dalam arsitektur referensi hanyalah contoh dari apa yang dapat Anda sebarkan. Microsoft mengelola hub Azure Virtual WAN dan Anda tidak dapat menginstal hal lain di dalamnya kecuali apa yang diizinkan oleh Azure Firewall dan NVA yang didukung secara eksplisit.
Arsitektur referensi ini selaras dengan prinsip arsitektur yang dijelaskan dalam artikel Cloud Adoption Framework untuk topologi jaringan Virtual WAN.
Mengamankan penyebaran rute dan isolasi lingkungan lokal adalah elemen keamanan penting yang harus dikelola.
Selain segmentasi lalu lintas, keamanan perutean adalah bagian penting dari desain keamanan jaringan apa pun. Protokol perutean adalah bagian integral dari sebagian besar jaringan, termasuk Azure. Anda perlu melindungi infrastruktur Anda dari risiko yang melekat hingga protokol perutean seperti kesalahan konfigurasi atau serangan berbahaya. Protokol BGP yang digunakan untuk VPN atau ExpressRoute menawarkan kemungkinan yang sangat kaya untuk melindungi jaringan Anda dari perubahan perutean yang tidak diinginkan, yang mungkin mencakup iklan rute yang terlalu spesifik atau rute yang terlalu luas.
Cara terbaik untuk melindungi jaringan Anda adalah dengan mengonfigurasi perangkat lokal Anda dengan kebijakan rute dan peta rute yang sesuai untuk memastikan bahwa hanya prefiks yang diizinkan yang disebarkan ke jaringan Anda dari Azure. Misalnya, Anda dapat:
Blokir awalan masuk yang terlalu generik.
Jika karena kesalahan konfigurasi Azure mulai mengirim awalan generik seperti 0.0.0.0/0 atau 10.0.0.0/8, itu bisa menarik lalu lintas yang mungkin tetap berada di jaringan lokal Anda.
Blokir awalan masuk yang terlalu spesifik.
Dalam keadaan tertentu Anda bisa mendapatkan beberapa awalan IPv4 panjang dari Azure (panjang awalan jaringan 30 hingga 32), yang biasanya disertakan dalam awalan lain yang kurang spesifik dan karenanya tidak diperlukan. Menghilangkan awalan ini mencegah tabel perutean lokal Anda tumbuh besar yang tidak perlu.
Blokir awalan masuk yang tidak ada di Azure kecuali Anda menggunakan Azure sebagai jaringan transit.
Jika Anda tidak menggunakan Azure untuk mengangkut lalu lintas antara lokasi lokal Anda (misalnya, dengan teknologi seperti ExpressRoute Global Reach), awalan lokal yang diiklankan dari Azure akan menunjukkan perulangan perutean. Hanya mengambil awalan Azure di router lokal Anda yang akan melindungi Anda dari jenis perulangan perutean ini.
Blokir prefiks keluar yang tidak lokal.
Jika Anda tidak menggunakan jaringan lokal untuk transit antar wilayah Azure, Anda tidak boleh beriklan ke Azure awalan apa pun yang tidak Anda gunakan di tempat. Jika tidak, Anda mengalami risiko membuat perulangan perutean, terutama mengingat fakta bahwa implementasi eBGP di sebagian besar router mengiklankan kembali semua awalan pada tautan yang tidak disukai. Ini memiliki efek mengirim awalan Azure kembali ke Azure kecuali Anda telah mengonfigurasi multi-jalur eBGP.
Azure Virtual WAN adalah kumpulan hub dan layanan yang tersedia di dalam hub. Anda dapat menyebarkan WAN Virtual sebanyak yang Anda butuhkan. Di hub Virtual WAN, ada beberapa layanan seperti VPN, ExpressRoute, Azure Firewall, atau NVA terintegrasi pihak ketiga.
Diagram berikut menunjukkan arsitektur logis infrastruktur Azure untuk penyebaran Azure Virtual WAN seperti yang digambarkan dalam Cloud Adoption Framework.
Sebagian besar sumber daya terkandung di dalam langganan konektivitas. Anda menyebarkan semua sumber daya Virtual WAN ke dalam satu grup sumber daya dalam langganan konektivitas, termasuk saat Anda menyebarkan di beberapa wilayah. Spoke Azure VNet berada di langganan zona pendaratan. Jika Anda menggunakan kebijakan pewarisan dan hierarki Azure Firewall, kebijakan induk dan kebijakan anak harus terletak di wilayah yang sama. Anda masih dapat menerapkan kebijakan yang Anda buat di satu wilayah pada hub aman dari wilayah lain.
Artikel ini menjelaskan langkah-langkah untuk menerapkan prinsip Zero Trust di seluruh arsitektur referensi Azure Virtual WAN.
Langkah | Tugas | Prinsip Zero Trust diterapkan |
---|---|---|
1 | Buat kebijakan Azure Firewall. | Verifikasi secara eksplisit Mengasumsikan pembobolan |
2 | Konversikan hub Azure Virtual WAN Anda ke hub aman. | Verifikasi secara eksplisit Mengasumsikan pembobolan |
3 | Amankan lalu lintas Anda. | Verifikasi secara eksplisit Mengasumsikan pembobolan |
4 | Amankan VNet spoke Anda. | Mengasumsikan pembobolan |
5 | Tinjau penggunaan enkripsi Anda. | Mengasumsikan pembobolan |
6 | Amankan pengguna P2S Anda. | Mengasumsikan pembobolan |
7 | Konfigurasikan pemantauan, audit, dan manajemen. | Mengasumsikan pembobolan |
Anda harus melakukan Langkah 1 dan 2 secara berurutan. Langkah-langkah lain dapat dilakukan dalam urutan apa pun.
Untuk penyebaran Azure Firewall mandiri di hub klasik dan arsitektur spoke, setidaknya satu kebijakan Azure harus dibuat di Azure Firewall Manager dan terkait dengan hub Azure Virtual WAN. Kebijakan ini harus dibuat dan disediakan sebelum konversi hub apa pun. Setelah kebijakan ditentukan, kebijakan diterapkan ke instans Azure Firewall di Langkah 2.
Kebijakan Azure Firewall dapat diatur dalam hierarki induk-anak. Untuk skenario hub klasik dan spoke atau Azure Virtual WAN terkelola, Anda harus menentukan kebijakan akar dengan sekumpulan aturan keamanan di seluruh IT umum untuk mengizinkan atau menolak lalu lintas. Kemudian, untuk setiap hub, kebijakan anak dapat didefinisikan untuk menerapkan aturan khusus hub melalui pewarisan. Langkah ini bersifat opsional. Jika aturan yang harus diterapkan ke setiap hub identik, satu kebijakan dapat diterapkan.
Untuk Zero Trust, kebijakan Azure Firewall Premium diperlukan dan harus menyertakan pengaturan berikut:
Proksi DNS – Anda harus mengonfigurasi Azure Firewall sebagai server DNS kustom untuk VNet spoke yang melindungi DNS nyata yang berada di spoke atau lokal layanan bersama. Firewall Azure bertindak sebagai Proksi DNS, mendengarkan port UDP 53, dan meneruskan permintaan DNS ke server DNS yang ditentukan dalam pengaturan kebijakan. Untuk setiap spoke, Anda harus mengonfigurasi server DNS di tingkat jaringan virtual yang menunjuk ke alamat IP internal Azure Firewall di Hub Virtual WAN. Anda tidak boleh memberikan akses jaringan dari spoke dan cabang ke DNS kustom.
Inspeksi TLS harus diaktifkan untuk skenario ini:
Inspeksi TLS Keluar untuk melindungi dari lalu lintas berbahaya yang dikirim dari klien internal yang dihosting di Azure ke Internet.
Inspeksi TLS Timur-Barat untuk menyertakan lalu lintas yang masuk ke atau dari cabang lokal dan antara spoke Virtual WAN. Ini melindungi beban kerja Azure Anda dari potensi lalu lintas berbahaya yang dikirim dari dalam Azure.
Sistem deteksi dan pencegahan intrusi (IDPS) harus diaktifkan dalam mode "Pemberitahuan dan Tolak".
Inteligensi Ancaman harus diaktifkan dalam mode "Pemberitahuan dan Tolak".
Sebagai bagian dari pembuatan kebijakan, Anda harus membuat aturan Destination Network Address Translation (DNAT) yang diperlukan, aturan jaringan, dan aturan aplikasi untuk mengaktifkan hanya alur jaringan untuk lalu lintas yang diizinkan secara eksplisit. Untuk mengaktifkan inspeksi TLS untuk target yang dipilih, aturan aplikasi yang sesuai harus mengaktifkan pengaturan "inspeksi TLS". Saat membuat aturan di Koleksi Aturan, Anda harus menggunakan "Tujuan" dan "Jenis Tujuan" yang paling ketat.
Inti dari pendekatan Zero Trust untuk Azure Virtual WAN adalah konsep hub Secured Virtual WAN (hub aman). Hub aman adalah hub Azure Virtual WAN dengan Azure Firewall terintegrasi. Penggunaan appliance keamanan yang didukung dari pihak ketiga didukung sebagai alternatif untuk Azure Firewall tetapi tidak dijelaskan dalam artikel ini. Anda dapat menggunakan appliance virtual ini untuk memeriksa semua lalu lintas Utara-Selatan, Timur-Barat, dan terikat Internet.
Kami merekomendasikan Azure Firewall Premium untuk Zero Trust dan Anda mengonfigurasinya dengan Kebijakan Premium yang dijelaskan di Langkah 1.
Catatan
Penggunaan DDoS Protection tidak didukung dengan hub aman.
Untuk informasi selengkapnya, lihat Menginstal Azure Firewall di hub Virtual WAN.
Setelah memutakhirkan semua hub Azure Virtual WAN ke hub aman, Anda harus mengonfigurasi Prinsip Niat dan Kebijakan Perutean untuk Zero Trust. Konfigurasi ini memungkinkan Azure Firewall di setiap hub untuk menarik dan memeriksa lalu lintas antara spoke dan cabang di hub yang sama dan di seluruh hub jarak jauh. Anda harus mengonfigurasi kebijakan Anda untuk mengirim "Lalu lintas Internet" dan "Lalu lintas privat" melalui Azure Firewall atau NVA pihak ketiga Anda). Opsi "Inter-hub" juga harus diaktifkan. Berikut ini contohnya.
Ketika kebijakan perutean "Lalu Lintas Privat" diaktifkan, lalu lintas VNet masuk dan keluar dari Hub Virtual WAN, termasuk lalu lintas antar-hub, diteruskan ke Azure Firewall atau NVA hop berikutnya yang ditentukan dalam kebijakan. Pengguna dengan hak istimewa Kontrol Akses Berbasis Peran (RBAC) dapat mengambil alih pemrograman rute Virtual WAN untuk VNet spoke dan mengaitkan Rute yang Ditentukan Pengguna (UDR) kustom untuk melewati firewall hub. Untuk mencegah kerentanan ini, izin RBAC untuk menetapkan UDR ke subnet VNet spoke harus dibatasi untuk administrator jaringan pusat dan tidak didelegasikan ke pemilik zona pendaratan VNet spoke. Untuk mengaitkan UDR dengan VNet atau subnet, pengguna harus memiliki peran Kontributor Jaringan atau peran kustom dengan tindakan atau izin "Microsoft.Network/routeTables/join/action".
Catatan
Dalam artikel ini, Azure Firewall terutama dipertimbangkan untuk lalu lintas Internet dan kontrol lalu lintas privat. Untuk lalu lintas Internet, pihak ketiga, NVA keamanan yang didukung dapat digunakan atau penyedia Security as a Service (SECaaS) pihak ketiga. Untuk lalu lintas privat, NVA keamanan yang didukung pihak ketiga dapat digunakan sebagai alternatif untuk Azure Firewall.
Catatan
Tabel Rute Kustom di Azure Virtual WAN tidak dapat digunakan bersama dengan Niat dan Kebijakan Perutean dan tidak boleh dianggap sebagai opsi keamanan.
Setiap hub Azure Virtual WAN dapat memiliki satu atau beberapa VNet yang terhubung dengan peering VNet. Berdasarkan model zona pendaratan di Cloud Adoption Framework, setiap VNet berisi beban kerja, aplikasi, dan layanan zona pendaratan yang mendukung organisasi. Azure Virtual WAN mengelola koneksi, propagasi dan asosiasi rute, serta perutean keluar dan masuk, tetapi tidak dapat memengaruhi keamanan intra-VNet. Prinsip Zero Trust harus diterapkan di dalam setiap VNet spoke sesuai dengan panduan yang diterbitkan dalam Menerapkan prinsip Zero Trust ke jaringan virtual spoke dan artikel lain tergantung pada jenis sumber daya, seperti komputer virtual dan penyimpanan. Pertimbangkan elemen berikut:
Segmentasi mikro: Bahkan jika Azure Virtual WAN menarik dan memfilter lalu lintas keluar, penggunaan kelompok keamanan jaringan (NSG) dan kelompok keamanan aplikasi (ASG) untuk mengatur alur intra-VNet masih disarankan.
DMZ lokal: Aturan DNAT yang dibuat di firewall pusat di dalam Azure Virtual WAN Hub harus memfilter dan mengizinkan lalu lintas non-http atau https masuk. Lalu lintas http atau https masuk harus dikelola oleh Azure Application Gateway lokal dan Web Application Firewall terkait.
Meskipun hub virtual aman Azure Virtual WAN belum mendukung Azure DDoS Protection , penggunaan DDoS untuk melindungi titik akhir yang terhubung ke Internet di VNet spoke dimungkinkan dan sangat disarankan. Untuk informasi lebih lanjut, lihat Masalah yang diketahui terkait Azure Firewall Manager dan Jaringan virtual hub serta perbandingan hub virtual yang aman.
Deteksi dan perlindungan ancaman tingkat lanjut: Lihat Menerapkan prinsip Zero Trust ke jaringan virtual spoke. Elemen di dalam spoke harus dilindungi dengan alat perlindungan ancaman seperti Microsoft Defender untuk Cloud.
Karena hub di Azure Virtual WAN dikunci dan dikelola oleh Azure, komponen kustom tidak dapat diinstal atau diaktifkan di sana. Beberapa sumber daya yang biasanya disebarkan di dalam hub, dalam hub klasik dan model spoke, harus ditempatkan dalam satu atau beberapa spoke yang bertindak sebagai jaringan sumber daya bersama. Contohnya:
- Azure Bastion: Azure Bastion mendukung Azure Virtual WAN tetapi harus disebarkan di dalam jaringan virtual spoke karena hub dibatasi dan dikelola oleh Azure. Dari spoke Azure Bastion, pengguna dapat menjangkau sumber daya di VNet lain, tetapi memerlukan koneksi berbasis IP yang tersedia dengan SKU Standar Azure Bastion.
- Server DNS kustom: Perangkat lunak server DNS dapat diinstal pada komputer virtual apa pun dan bertindak sebagai server DNS untuk semua spoke di Azure Virtual WAN. Server DNS harus diinstal di VNet spoke yang melayani semua spoke lain secara langsung, atau melalui fitur Proksi DNS yang ditawarkan oleh Azure Firewall yang terintegrasi di dalam hub Virtual WAN.
- Azure Private DNS Resolver: Penyebaran Azure Private DNS Resolver didukung di dalam salah satu VNet spoke yang tersambung ke hub Virtual WAN. Azure Firewall yang terintegrasi di dalam hub Virtual WAN dapat menggunakan sumber daya ini sebagai DNS kustom saat Anda mengaktifkan fitur Proksi DNS.
- Titik Akhir Privat: Jenis sumber daya ini kompatibel dengan Virtual WAN tetapi harus disebarkan di dalam VNet spoke. Ini menyediakan konektivitas ke jaringan virtual atau cabang lain yang terhubung ke Virtual WAN yang sama, jika Azure Firewall terintegrasi memungkinkan alur. Petunjuk tentang cara mengamankan lalu lintas ke Titik Akhir Privat menggunakan Azure Firewall yang terintegrasi di dalam hub Virtual WAN dapat ditemukan di Lalu lintas aman yang ditujukan untuk titik akhir privat di Azure Virtual WAN.
- Zona DNS Privat Azure (tautan): Jenis sumber daya ini tidak hidup di dalam jaringan virtual tetapi harus ditautkan ke mereka agar berfungsi dengan benar. Zona DNS Privat tidak dapat ditautkan ke hub Virtual WAN. Sebagai gantinya, mereka harus terhubung ke VNet spoke yang berisi server DNS kustom atau Azure Private DNS Resolver (disarankan) atau langsung ke VNet spoke yang memerlukan catatan DNS dari zona tersebut.
Azure Virtual WAN menyediakan beberapa kemampuan enkripsi lalu lintas melalui gatewaynya sendiri untuk lalu lintas yang memasuki jaringan Microsoft. Jika memungkinkan, enkripsi harus diaktifkan, berdasarkan jenis gateway. Pertimbangkan perilaku enkripsi default berikut:
Gateway VPN Virtual WAN S2S menyediakan enkripsi saat menggunakan koneksi VPN IPsec/IKE (IKEv1 dan IKEv2).
Gateway VPN Virtual WAN P2S menyediakan enkripsi saat menggunakan koneksi VPN pengguna melalui OpenVPN atau IPsec/IKE (IKEv2).
Gateway ExpressRoute Virtual WAN tidak menyediakan enkripsi, oleh karena itu pertimbangan yang sama dari ExpressRoute mandiri berlaku.
Hanya untuk sirkuit ExpressRoute yang disediakan di atas ExpressRoute Direct, Dimungkinkan untuk memanfaatkan enkripsi MACsec yang disediakan platform untuk mengamankan koneksi antara router tepi Anda dan router edge Microsoft.
Enkripsi dapat dibuat menggunakan koneksi VPN IPsec/IKE dari jaringan lokal Anda ke Azure melalui peering privat sirkuit Azure ExpressRoute. Kebijakan Niat dan Perutean Perutean sekarang mendukung konfigurasi ini dengan langkah-langkah konfigurasi tambahan yang diperlukan, seperti yang dijelaskan dalam ExpressRoute Terenkripsi.
Untuk perangkat Software-Defined WAN (SD-WAN) pihak ketiga dan NVA yang terintegrasi ke hub Virtual WAN, kemampuan enkripsi tertentu harus diverifikasi dan dikonfigurasi sesuai dengan dokumentasi vendor.
Setelah lalu lintas memasuki infrastruktur jaringan Azure melalui salah satu gateway atau SD-WAN/NVA, tidak ada layanan atau kemampuan Virtual WAN tertentu yang menyediakan enkripsi jaringan. Jika lalu lintas antara hub dan jaringan virtualnya dan hub-ke-hub tidak terenkripsi, Anda harus menggunakan enkripsi tingkat aplikasi jika diperlukan.
Catatan
Spoke Virtual WAN tidak mendukung enkripsi VNet-ke-VNet menggunakan Azure VPN Gateway karena spoke diperlukan untuk menggunakan gateway jarak jauh hub Virtual WAN.
Azure Virtual WAN adalah layanan jaringan yang menyatukan banyak fungsionalitas jaringan, keamanan, dan perutean untuk menyediakan satu antarmuka operasional. Dari perspektif identitas pengguna, satu-satunya titik sentuh dengan Virtual WAN adalah dalam metode autentikasi yang digunakan untuk memungkinkan VPN P2S pengguna. Beberapa metode autentikasi tersedia, tetapi sebaiknya ikuti autentikasi Microsoft Entra prinsip Zero Trust umum. Dengan ID Microsoft Entra, Anda dapat memerlukan autentikasi multifaktor (MFA) dan Akses Bersyarat menerapkan prinsip Zero Trust untuk perangkat klien dan identitas pengguna.
Catatan
Autentikasi Microsoft Entra hanya tersedia untuk gateway yang menggunakan protokol OpenVPN, yang hanya didukung untuk koneksi protokol OpenVPN dan memerlukan Klien Azure VPN.
Azure Virtual WAN dan Azure Firewall tidak menyediakan perutean dan pemfilteran lalu lintas berdasarkan nama akun pengguna atau grup, tetapi dimungkinkan untuk menetapkan grup pengguna yang berbeda dari kumpulan alamat IP yang berbeda. Anda kemudian dapat menentukan aturan pada Azure Firewall terintegrasi untuk membatasi pengguna atau grup berdasarkan kumpulan alamat IP P2S yang ditetapkan.
Jika Anda membagi pengguna P2S ke dalam grup yang berbeda berdasarkan persyaratan akses jaringan, kami sarankan Anda membedakannya di tingkat jaringan dan memastikan bahwa mereka hanya dapat mengakses subset jaringan internal. Anda dapat membuat beberapa kumpulan alamat IP untuk Azure Virtual WAN. Untuk informasi selengkapnya, lihat Mengonfigurasi grup pengguna dan kumpulan alamat IP untuk VPN Pengguna P2S.
Azure Virtual WAN menyediakan kemampuan pemantauan dan diagnostik yang luas dengan Azure Monitor. Detail dan topologi tambahan dapat diperoleh menggunakan dasbor pemantauan terfokus, bawaan, di portal Azure bernama Azure Monitor Insights untuk Virtual WAN. Alat pemantauan ini tidak spesifik untuk keamanan. Azure Firewall yang disebarkan di dalam setiap hub Virtual WAN menyediakan titik integrasi untuk Zero Trust dan pemantauan keamanan. Anda harus mengonfigurasi Diagnostik dan pengelogan untuk Azure Firewall sama dengan Azure Firewall di luar Virtual WAN.
Azure Firewall menyediakan alat pemantauan berikut yang harus Anda gunakan untuk memastikan keamanan dan penerapan prinsip Zero Trust yang benar:
Azure Firewall Policy Analytics memberikan wawasan, visibilitas terpusat, dan kontrol ke Azure Firewall. Keamanan memang mengharuskan aturan firewall yang tepat diberlakukan dan efektif untuk melindungi infrastruktur internal. portal Azure merangkum detail tentang "Sumber Berbahaya Potensial" yang dihasilkan oleh IDPS mesin firewall dan fitur Inteligensi Ancaman.
Azure Firewall Workbook menyediakan kanvas fleksibel untuk analisis data Azure Firewall. Anda dapat memperoleh wawasan tentang peristiwa Azure Firewall, mempelajari tentang aplikasi, dan aturan jaringan Anda, dan melihat statistik untuk aktivitas firewall di seluruh URL, port, dan alamat. Kami sangat menyarankan Agar Anda secara berkala meninjau memeriksa Statistik Log IDPS dan dari tab Investigasi , memeriksa lalu lintas, alur sumber dan tujuan yang ditolak, dan laporan Inteligensi Ancaman untuk meninjau dan mengoptimalkan aturan firewall.
Azure Firewall juga terintegrasi dengan Microsoft Defender untuk Cloud dan Microsoft Sentinel. Kami sangat menyarankan Agar Anda mengonfigurasi kedua alat dengan benar dan secara aktif menggunakannya untuk Zero Trust dengan cara berikut:
- Dengan integrasi Microsoft Defender untuk Cloud, Anda dapat memvisualisasikan status all-up infrastruktur jaringan dan keamanan jaringan di satu tempat, termasuk Azure Network Security di semua VNet dan Hub Virtual yang tersebar di berbagai wilayah di Azure. Dengan sekilas, Anda dapat melihat jumlah Azure Firewall, kebijakan firewall, dan wilayah Azure tempat Azure Firewall disebarkan.
- Solusi Microsoft Sentinel untuk integrasi Azure Firewall yang mulus menyediakan deteksi dan pencegahan ancaman. Setelah disebarkan, solusi ini memungkinkan deteksi ancaman bawaan yang dapat disesuaikan di atas Microsoft Sentinel. Solusinya juga mencakup buku kerja, deteksi, kueri berburu, dan playbook.
Modul pelatihan berikut membantu tim Anda dengan keterampilan yang diperlukan untuk menerapkan prinsip Zero Trust ke penyebaran Azure Virtual WAN Anda.
Pelatihan | Pengantar Azure Virtual WAN |
---|---|
Menjelaskan cara membangun jaringan area luas (WAN) menggunakan layanan jaringan Azure Virtual WAN yang ditentukan perangkat lunak. |
Pelatihan | Pengantar Azure Firewall |
---|---|
Menjelaskan cara Azure Firewall melindungi sumber daya Azure VNet, termasuk fitur Azure Firewall, aturan, opsi penyebaran, dan administrasi dengan Azure Firewall Manager. |
Pelatihan | Pengantar Azure Firewall Manager |
---|---|
Menjelaskan apakah Anda dapat menggunakan Azure Firewall Manager untuk menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud Anda. Mengevaluasi apakah Azure Firewall Manager dapat membantu mengamankan perimeter cloud Anda. |
Pelatihan | Merancang dan mengimplementasikan keamanan jaringan |
---|---|
Anda akan mempelajari cara merancang dan mengimplementasikan solusi keamanan jaringan seperti Azure DDoS, Kelompok Keamanan Jaringan, Azure Firewall, dan Web Application Firewall. |
Untuk pelatihan selengkapnya tentang keamanan di Azure, lihat sumber daya ini di katalog Microsoft:
Keamanan di Azure
Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure:
- Gambaran umum Azure IaaS
- Azure Virtual Desktop
- Aplikasi IaaS di Amazon Web Services
- Microsoft Sentinel dan Microsoft Defender XDR
Lihat tautan ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.
- Gambaran umum Azure Virtual WAN
- Cara mengonfigurasi kebijakan perutean hub Virtual WAN
- Menginstal Azure Firewall di hub Virtual WAN
- Apa yang dimaksud dengan hub virtual yang aman?
- Cara mengonfigurasi kebijakan perutean hub Virtual WAN
- Tutorial: Mengamankan hub virtual Anda menggunakan Azure Firewall Manager
- Tutorial: Mengamankan hub virtual Anda menggunakan Azure PowerShell
- Berbagi layanan tautan privat di seluruh Virtual WAN
- Mengelola akses aman ke sumber daya di VNet spoke untuk klien P2S
- Pengantar keamanan Azure
- Panduan implementasi Zero Trust
- Gambaran umum tolok ukur keamanan cloud Microsoft
- Membangun lapisan pertahanan pertama dengan layanan keamanan Azure
- Arsitektur Referensi Keamanan Cyber Microsoft
Anda dapat mengunduh ilustrasi yang digunakan dalam artikel ini. Gunakan file Visio untuk mengubah ilustrasi ini untuk penggunaan Anda sendiri.
Untuk ilustrasi teknis tambahan, klik di sini.